griffin
Goto Top

Domänenzugriff per Vertrauenstellung

Hallo,
wir haben in der Firma zwei Domänen, die unabhängig arbeiten und verwaltet werden und über eine Vertrauensstellung (beidseitig) verbunden sind.

Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt. Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.

Hat jemand vielleicht einen Tipp, wo ich hier ansetzen könnte?


Gruß

Content-ID: 2253897597

Url: https://administrator.de/forum/domaenenzugriff-per-vertrauenstellung-2253897597.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

Pjordorf
Pjordorf 26.12.2023 um 17:37:51 Uhr
Goto Top
Hallo,

Zitat von @griffin:
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt. Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.
Der Mitarbeiter ist mitglied welcher Domäne?
Was sagt das Ereignissprotokoll vom Server/DC/Client?
Für was genau ist deine Vertrauensstellung? Auch für Anmelde-Skripts?

Mal aus nicht MS sicht dargelegt.
https://www.ibm.com/docs/de/db2/11.5?topic=windows-trust-relationships-b ...
https://www.edv-lehrgang.de/vertrauensstellung/

https://www.ip-insider.de/10-tipps-fuer-vertrauensstellungen-in-active-d ...
https://www.datacenter-insider.de/vertrauensstellungen-in-windows-domaen ...
https://www.privalnetworx.de/ad-trust-einrichten
https://www.connect-professional.de/security/vertrauensstellungen-verste ...

Gruß,
Peter
griffin
griffin 26.12.2023 um 18:54:16 Uhr
Goto Top
Hi,
der Mitarbeiter ist Mitglied der Domäne-A , und meldet sich an Domäne-B als Domäne-A\Name an.
Die Vertrauensstellung ist beidseitig.
In den Protokollen bin ich nicht wirklich fündig geworden.
lese aber gerade deinen Post von vor einiger Zeit
Netzlaufwerk verbinden: Domänenübergreifend: Vertrauensstellung: Logonscript
wie könnte ich die Anmelde-Skripte denn zum ausführen bringen bzw. in eine Vertrauensstellung kriegen?
(wie gesagt, manuell das Skript aufrufen klappt)
oder geht das nur via GPO?

Gruß
Pjordorf
Pjordorf 26.12.2023 um 19:10:57 Uhr
Goto Top
Hallo,

Zitat von @griffin:
der Mitarbeiter ist Mitglied der Domäne-A , und meldet sich an Domäne-B als Domäne-A\Name an.
Dann meldet er sich ja direkt am DC der Domäne A an (Domäne A\Anmeldename). Das hat nix mit Vertrauensstellung zu tun, und dann ist betreffende Benutzer auch noch Mitglied der Domäne A.

wie könnte ich die Anmelde-Skripte denn zum ausführen bringen bzw. in eine Vertrauensstellung kriegen?
In welcher Domäne ist denn das Anmelde-Skript. Oben wird ja ausdrücklich nur Domäne A genutzt.
Kann ein Domänenfremder sich an eine Domäne Anmelden auch wenn er Mitglied einer anderen Domäne ist? Ja

(wie gesagt, manuell das Skript aufrufen klappt)
Erzähl mehr zu deinen Skript.
Wie/Wo/Berechtigung usw.

oder geht das nur via GPO?
Ja und Nein.

Gruß,
Peter
griffin
griffin 26.12.2023 um 20:34:11 Uhr
Goto Top
Hi,
die Skripte liegen im Netlogon Verzeichnis der Domäne-A, es ist eine einfache .bat Datei die UNC Pfade auf ein Laufwerk mappt. In der Userverwaltung der Domäne-A ist es als "skript.bat" ohne weitere Pfade hinterlegt und wird an einem PC in der Domäne-A auch ausgeführt wie es soll.

In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat

individuelle Berechtigungen hab ich am Netlogon Verzeichnis (Freigabe) nicht vorgenommen

Gruß
Dani
Dani 26.12.2023 um 21:46:54 Uhr
Goto Top
Moin,
In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat
da wird nicht funktionieren, da das Feld den relativen (nicht den absoluten Pfad zum Skript enthalten muss. Nachzulesen wie immer bei Microsoft: How to assign a logon script to a user's profile.


Gruß,
Dani
elix2k
elix2k 27.12.2023 um 06:30:09 Uhr
Goto Top
Zitat von @griffin:

Hi,
die Skripte liegen im Netlogon Verzeichnis der Domäne-A, es ist eine einfache .bat Datei die UNC Pfade auf ein Laufwerk mappt. In der Userverwaltung der Domäne-A ist es als "skript.bat" ohne weitere Pfade hinterlegt und wird an einem PC in der Domäne-A auch ausgeführt wie es soll.

In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat

individuelle Berechtigungen hab ich am Netlogon Verzeichnis (Freigabe) nicht vorgenommen

Gruß

Warum mappst du die Laufwerke nicht per Gruppenrichtlinie?
emeriks
emeriks 27.12.2023 um 09:44:25 Uhr
Goto Top
Hi,
das ist höchstwahrscheinlich ein Problem mit der Namensauflösung von NetBIOS-Namen.
Sorge mal dafür, dass der Computer von B, an welchem die Anmeldung mit einem Konto von A erfolgt, auch NetBIOS-Namen des Domäne A auflösen kann. (Hier konkret die NetBIOS-Namen der DC's von A) (siehe alternative DNS-Suffixe für NetzBIOS-Namensauflösung)
Und dass natürlich NetBIOS überhaupt aktiviert ist am Computer, wo die Anmeldung erfolgt.

E.
erikro
erikro 27.12.2023 um 09:57:52 Uhr
Goto Top
Moin,

Zitat von @griffin:
wir haben in der Firma zwei Domänen, die unabhängig arbeiten und verwaltet werden und über eine Vertrauensstellung (beidseitig) verbunden sind.

OK

Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden,

Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A in der Domain-B vertraut wird und er so entsprechende Mitgliedschaften in universellen Gruppen und Zuweisung der notwendigen Rechte an diese Gruppen (nie direkt, sondern immer nested) Zugriff auf die Ressourcen der Domain-B erhält. Ein Nutzerkonto in der Domain-B ist nicht notwendig.

und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt.

Er hat also ein Konto in der Domain-A. Sonst könnte er sich nicht gegen diese Domain anmelden.

Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.

Natürlich ist das so. Wenn er sich gegen die Domain-A anmeldet, werden die Skripte der Domain-B nicht ausgeführt.

Hat jemand vielleicht einen Tipp, wo ich hier ansetzen könnte?

Nutze die Vertrauensstellung richtig. Guckst Du hier:
https://www.techtarget.com/searchwindowsserver/tip/Active-Directory-nest ...

hth

Erik
emeriks
emeriks 27.12.2023 um 10:08:22 Uhr
Goto Top
@erikro
Du solltest die Frage richtig lesen! face-wink
erikro
erikro 27.12.2023 um 10:23:48 Uhr
Goto Top
Zitat von @emeriks:

@erikro
Du solltest die Frage richtig lesen! face-wink

Hab ich doch. face-wink
emeriks
emeriks 27.12.2023 um 10:47:14 Uhr
Goto Top
Zitat von @erikro:
Natürlich ist das so. Wenn er sich gegen die Domain-A anmeldet, werden die Skripte der Domain-B nicht ausgeführt.
Das wird ja auch gar nicht erwartet. @griffin erwartet, dass die von A ausgeführt werden.
Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A ....
Doch, es kann absolut sein, dass das notwendig ist. Wenn sich ein A-Benutzer anmelden muss, aber nur ein B-Computer verfügbar ist, dann ist das genau dieses Szenario.
erikro
erikro 27.12.2023 um 14:02:55 Uhr
Goto Top
Zitat von @emeriks:
Zitat von @erikro:
Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A ....
Doch, es kann absolut sein, dass das notwendig ist. Wenn sich ein A-Benutzer anmelden muss, aber nur ein B-Computer verfügbar ist, dann ist das genau dieses Szenario.

Ach so meint der TO das. Das hat er dann aber ein wenig verwirrend ausgedrückt:
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt.
(fett von mir)

Er meldet sich ja gar nicht bei der zweiten an, sondern bei der ersten. face-wink
emeriks
emeriks 27.12.2023 um 14:11:24 Uhr
Goto Top
@erikro
Ja, stimmt. Wörter ...